官方自动刷新 CVE 订阅源的更新
作者:Cailyn Edwards (Shopify), Mahé Tardy (Isovalent), Pushkar Joglekar
译者:Wilson Wu (DaoCloud)
自从在 1.25 版本中将官方自动刷新 CVE 订阅源作为 Alpha 功能启用以来,我们已经做了一些重大改进和更新。我们很高兴宣布该订阅源的 Beta 版现已发布。这篇博文将列举收到的反馈、所做的更改, 还讨论了在未来 Kubernetes 版本中准备使其进阶成为一个稳定功能时你可以如何提供帮助。
来自最终用户的反馈
SIG Security 收到了一些最终用户的反馈:
- JSON CVE Feed 的名称与在 JSON Feed 规范中所建议的不符。
- 除了 JSON Feed 格式之外,订阅源还可以支持 RSS 格式。
- 可以添加一些元数据来表示整体订阅的实时性, 或者特殊 CVE 内容。 另一个建议是希望指出哪个 Prow 作业最近对订阅源进行了更新。 可以直接在问题汇总中查看更多想法。
- 网站上的订阅源 Markdown 表应按照 CVE 发布的时间顺序由近到远排列。
变更摘要
在回应中,SIG 对生成 JSON 格式订阅源的脚本进行了修改,
让生成的内容符合 JSON Feed 规范,并添加 last_updated 根字段表示整体实时性。此重新设计需要
Kubernetes 网站的相应修复,以便 CVE 订阅源页面基于新格式继续工作。
之后,完全透明的添加了 RSS 订阅源支持,以便最终用户使用订阅源时可以将其作为首选格式。
总而言之,基于 JSON Feed 规范的重新设计(打破了向后兼容性)将允许后续进行更新以解决其余问题,同时令其更加透明且对最终用户的干扰做到较小。
更新
| 标题 | Issue | 状态 |
|---|---|---|
| CVE Feed: JSON feed should pass jsonfeed spec validator | kubernetes/webite#36808 | 已关闭,详见:kubernetes/sig-security#76 |
| CVE Feed: Add lastUpdatedAt as a metadata field | kubernetes/sig-security#72 | 已关闭,详见:kubernetes/sig-security#76 |
| Support RSS feeds by generating data in Atom format | kubernetes/sig-security#77 | 已关闭,详见:kubernetes/website#39513 |
| CVE Feed: Sort Markdown Table from most recent to least recently announced CVE | kubernetes/sig-security#73 | 已关闭,详见:kubernetes/sig-security#76 |
| CVE Feed: Include a timestamp field for each CVE indicating when it was last updated | kubernetes/sig-security#63 | 已关闭,详见:kubernetes/sig-security#76 |
| CVE Feed: Add Prow job link as a metadata field | kubernetes/sig-security#71 | 已关闭,详见:kubernetes/sig-security#83 |
接下来要做什么?
为了此订阅源进阶至稳定阶段做准备,
即 General Availability 阶段,SIG Security 仍将从最终用户持续收集他们使用最新 Beta 版订阅源后的反馈。
为了帮助我们在未来的 Kubernetes 版本中继续改进订阅源,请通过对此跟踪 Issue 添加评论来分享反馈,或者通过 #sig-security-tooling Kubernetes Slack 频道让我们获得更多信息,由此加入 Kubernetes Slack。